4.3. Configuration du délai d'inactivité du jeton pour un client OAuth
Vous pouvez configurer les clients OAuth pour qu'ils expirent les jetons OAuth après une période d'inactivité donnée. Par défaut, aucun délai d'inactivité n'est défini.
Si le délai d'inactivité du jeton est également configuré dans la configuration interne du serveur OAuth, le délai défini dans le client OAuth remplace cette valeur.
Conditions préalables
-
Vous avez accès au cluster en tant qu'utilisateur ayant le rôle
cluster-admin. - Vous avez configuré un fournisseur d'identité (IDP).
Procédure
Mettre à jour la configuration de
OAuthClientpour définir un délai d'inactivité des jetons.Modifiez l'objet
OAuthClient:oc edit oauthclient <oauth_client> 1- 1
- Remplacez
<oauth_client>par le client OAuth à configurer, par exempleconsole.
Ajoutez le champ
accessTokenInactivityTimeoutSecondset définissez la valeur de votre délai d'attente :apiVersion: oauth.openshift.io/v1 grantMethod: auto kind: OAuthClient metadata: ... accessTokenInactivityTimeoutSeconds: 600 1- 1
- La valeur minimale autorisée du délai d'attente en secondes est de
300.
- Enregistrez le fichier pour appliquer les modifications.
Vérification
- Connectez-vous au cluster avec une identité provenant de votre IDP. Veillez à utiliser le client OAuth que vous venez de configurer.
- Effectuer une action et vérifier qu'elle a réussi.
- Attendre plus longtemps que le délai configuré sans utiliser l'identité. Dans l'exemple de cette procédure, attendez plus de 600 secondes.
Essayer d'effectuer une action à partir de la session de la même identité.
Cette tentative doit échouer car le jeton doit avoir expiré en raison d'une inactivité plus longue que le délai configuré.
